检测

RHEL 6 : eclipse (RHSA-2011:0568)

medium Nessus 插件 ID 54595

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 eclipse 程序包修复了一个安全问题和多个缺陷并进行了多种强化,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Eclipse 软件开发环境提供一组用于 C/C++ 和 Java 开发的工具。

在 Eclipse 帮助内容 Web 应用程序中发现跨站脚本 (XSS) 缺陷。攻击者可利用此缺陷诱骗受害者访问特别构建的 Eclipse 帮助 URL,针对他们进行跨站脚本攻击。(CVE-2010-4647)

以下 Eclipse 程序包已升级到官方上游 Eclipse Helios SR1 发行版中的版本,与以前的版本相比提供很多缺陷补丁和增强:

* eclipse 升级到 3.6.1。(BZ#656329) * eclipse-cdt 升级到 7.0.1。(BZ#656333) * eclipse-birt 升级到 2.6.0。(BZ#656391) * eclipse-emf 升级到 2.6.0。(BZ#656344)
* eclipse-gef 升级到 3.6.1。(BZ#656347) * eclipse-mylyn 升级到 3.4.2。
(BZ#656337) * eclipse-rse 升级到 3.2。(BZ#656338) * eclipse-dtp 升级到 1.8.1。
(BZ#656397) * eclipse-changelog 升级到 2.7.0。(BZ#669499) * eclipse-valgrind 升级到 0.6.1。(BZ#669460) * eclipse-callgraph 升级到 0.6.1。
(BZ#669462) * eclipse-oprofile 升级到 0.6.1。(BZ#670228) * eclipse-linuxprofilingframework 升级到 0.6.1。(BZ#669461)

此外,对上述 Eclipse 程序包的依存关系进行了以下更新:

* icu4j 升级到 4.2.1。(BZ#656342) * sat4j 升级到 2.2.0。(BZ#661842) * objectweb-asm 升级到 3.2。(BZ#664019) * jetty-eclipse 升级到 6.1.24。
(BZ#661845)

此更新包含大量上游缺陷补丁和增强,例如:

* Eclipse IDE 和 Java 开发工具 (JDT):

- 项目和文件夹可以过滤工作区中的资源。- 支持新的虚拟文件夹和链接文件。- 现在支持 UNIX 文件权限的完整集合。- 添加了停止按钮,可取消运行时间很长的向导任务。- 悬停在问题上时,Java 编辑器现在显示多个快速修复。- 对运行 JUnit 版本 4 测试的全新支持。- 200 多个上游缺陷补丁。

* Eclipse C/C++ 开发工具 (CDT):

- 添加了新的 Codan 框架用于静态代码分析。- 重构改进,例如存储重构历史记录。- 现在会在构建控制台中突出显示编译和构建错误。- 切换到新的 DSF 调试程序框架。- 新模板视图支持。- 600 多个上游缺陷补丁。

此更新还修复以下缺陷:

* 修复了“Help Contents”窗口中 GNU 工具的错误 URI。(BZ#622713)

* 如果 Eclipse 项目不在 Eclipse 工作区中,则二进制文件的配置不起作用。此更新针对外部项目配置添加了自动测试,从而修正了此问题。(BZ#622867)

* Eclipse 中运行的 C/C++ 应用程序成功终止,但在 Error Log 窗口中返回了一个与应用程序本身不相关的 I/O 异常。通过此更新,不会再返回异常。(BZ#668890)

* eclipse-mylyn 程序包显示“20100916-0100-e3x”限定符。
限定符已被修改为“v20100902-0100-e3x”以匹配 eclipse-mylyn 的上游版本。(BZ#669819)

* 由于程序包中的一个缺陷,安装 eclipse-mylyn 程序包失败,并返回了“Resource temporarily unavailable”错误消息。
此更新修复了此缺陷,并且安装现在可以正常工作。
(BZ#673174)

* 构建 eclipse-cdt 程序包可能因与本地文件系统的错误交互而失败。与本地文件系统的交互现在将被阻止,并且构建不会再失败。
(BZ#678364)

* eclipse-cdt 程序包提供的 libhover 插件使用二进制数据搜索悬停主题。数据位置是在外部以 URL 的形式指定的,这可在没有 Internet 访问权限的系统上造成异常。此更新修改了插件,使其从本地位置拉取所需数据。(BZ#679543)

Eclipse 用户应升级这些更新后的程序包,其中修正了这些问题并添加这些增强。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/cve/cve-2010-4647

https://access.redhat.com/errata/RHSA-2011:0568

插件详情

严重性: Medium

ID: 54595

文件名: redhat-RHSA-2011-0568.nasl

版本: 1.19

类型: local

代理: unix

发布时间: 2011/5/20

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:eclipse-birt, p-cpe:/a:redhat:enterprise_linux:eclipse-callgraph, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-parsers, p-cpe:/a:redhat:enterprise_linux:eclipse-cdt-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-changelog, p-cpe:/a:redhat:enterprise_linux:eclipse-debuginfo, p-cpe:/a:redhat:enterprise_linux:eclipse-dtp, p-cpe:/a:redhat:enterprise_linux:eclipse-emf, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd, p-cpe:/a:redhat:enterprise_linux:eclipse-emf-xsd-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-gef, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-examples, p-cpe:/a:redhat:enterprise_linux:eclipse-gef-sdk, p-cpe:/a:redhat:enterprise_linux:eclipse-jdt, p-cpe:/a:redhat:enterprise_linux:eclipse-linuxprofilingframework, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-cdt, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-java, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-trac, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-webtasks, p-cpe:/a:redhat:enterprise_linux:eclipse-mylyn-wikitext, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile, p-cpe:/a:redhat:enterprise_linux:eclipse-oprofile-debuginfo, p-cpe:/a:redhat:enterprise_linux:eclipse-pde, p-cpe:/a:redhat:enterprise_linux:eclipse-platform, p-cpe:/a:redhat:enterprise_linux:eclipse-rcp, p-cpe:/a:redhat:enterprise_linux:eclipse-rse, p-cpe:/a:redhat:enterprise_linux:eclipse-swt, p-cpe:/a:redhat:enterprise_linux:eclipse-valgrind, p-cpe:/a:redhat:enterprise_linux:icu4j, p-cpe:/a:redhat:enterprise_linux:icu4j-eclipse, p-cpe:/a:redhat:enterprise_linux:icu4j-javadoc, p-cpe:/a:redhat:enterprise_linux:jetty-eclipse, p-cpe:/a:redhat:enterprise_linux:objectweb-asm, p-cpe:/a:redhat:enterprise_linux:objectweb-asm-javadoc, p-cpe:/a:redhat:enterprise_linux:sat4j, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2011/5/19

漏洞发布日期: 2011/1/13

参考资料信息

CVE: CVE-2010-4647

BID: 44883

RHSA: 2011:0568